chiark / gitweb /
core: output unit status output strings to console, only if we actually are changing...
[elogind.git] / src / core / selinux-access.c
1 /*-*- Mode: C; c-basic-offset: 8; indent-tabs-mode: nil -*-*/
2
3 /***
4   This file is part of systemd.
5
6   Copyright 2012 Dan Walsh
7
8   systemd is free software; you can redistribute it and/or modify it
9   under the terms of the GNU Lesser General Public License as published by
10   the Free Software Foundation; either version 2.1 of the License, or
11   (at your option) any later version.
12
13   systemd is distributed in the hope that it will be useful, but
14   WITHOUT ANY WARRANTY; without even the implied warranty of
15   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
16   Lesser General Public License for more details.
17
18   You should have received a copy of the GNU Lesser General Public License
19   along with systemd; If not, see <http://www.gnu.org/licenses/>.
20 ***/
21
22 #include "selinux-access.h"
23
24 #ifdef HAVE_SELINUX
25
26 #include <stdio.h>
27 #include <string.h>
28 #include <errno.h>
29 #include <limits.h>
30 #include <selinux/selinux.h>
31 #include <selinux/avc.h>
32 #include <sys/socket.h>
33 #ifdef HAVE_AUDIT
34 #include <libaudit.h>
35 #endif
36
37 #include "sd-bus.h"
38 #include "bus-util.h"
39 #include "util.h"
40 #include "log.h"
41 #include "audit.h"
42 #include "selinux-util.h"
43 #include "audit-fd.h"
44 #include "strv.h"
45
46 static bool initialized = false;
47
48 struct audit_info {
49         sd_bus_creds *creds;
50         const char *path;
51         const char *cmdline;
52 };
53
54 /*
55    Any time an access gets denied this callback will be called
56    with the audit data.  We then need to just copy the audit data into the msgbuf.
57 */
58 static int audit_callback(
59                 void *auditdata,
60                 security_class_t cls,
61                 char *msgbuf,
62                 size_t msgbufsize) {
63
64         const struct audit_info *audit = auditdata;
65         uid_t uid = 0, login_uid = 0;
66         gid_t gid = 0;
67         char login_uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
68         char uid_buf[DECIMAL_STR_MAX(uid_t)] = "n/a";
69         char gid_buf[DECIMAL_STR_MAX(gid_t)] = "n/a";
70
71         if (sd_bus_creds_get_audit_login_uid(audit->creds, &login_uid) >= 0)
72                 snprintf(login_uid_buf, sizeof(login_uid_buf), UID_FMT, login_uid);
73         if (sd_bus_creds_get_euid(audit->creds, &uid) >= 0)
74                 snprintf(uid_buf, sizeof(uid_buf), UID_FMT, uid);
75         if (sd_bus_creds_get_egid(audit->creds, &gid) >= 0)
76                 snprintf(gid_buf, sizeof(gid_buf), GID_FMT, gid);
77
78         snprintf(msgbuf, msgbufsize,
79                  "auid=%s uid=%s gid=%s%s%s%s%s%s%s",
80                  login_uid_buf, uid_buf, gid_buf,
81                  audit->path ? " path=\"" : "", strempty(audit->path), audit->path ? "\"" : "",
82                  audit->cmdline ? " cmdline=\"" : "", strempty(audit->cmdline), audit->cmdline ? "\"" : "");
83
84         msgbuf[msgbufsize-1] = 0;
85
86         return 0;
87 }
88
89 /*
90    Any time an access gets denied this callback will be called
91    code copied from dbus. If audit is turned on the messages will go as
92    user_avc's into the /var/log/audit/audit.log, otherwise they will be
93    sent to syslog.
94 */
95 _printf_(2, 3) static int log_callback(int type, const char *fmt, ...) {
96         va_list ap;
97
98 #ifdef HAVE_AUDIT
99         if (get_audit_fd() >= 0) {
100                 _cleanup_free_ char *buf = NULL;
101                 int r;
102
103                 va_start(ap, fmt);
104                 r = vasprintf(&buf, fmt, ap);
105                 va_end(ap);
106
107                 if (r >= 0) {
108                         audit_log_user_avc_message(get_audit_fd(), AUDIT_USER_AVC, buf, NULL, NULL, NULL, 0);
109                         return 0;
110                 }
111         }
112 #endif
113
114         va_start(ap, fmt);
115         log_internalv(LOG_AUTH | LOG_INFO, 0, __FILE__, __LINE__, __FUNCTION__, fmt, ap);
116         va_end(ap);
117
118         return 0;
119 }
120
121 /*
122    Function must be called once to initialize the SELinux AVC environment.
123    Sets up callbacks.
124    If you want to cleanup memory you should need to call selinux_access_finish.
125 */
126 static int access_init(void) {
127         int r = 0;
128
129         if (avc_open(NULL, 0))
130                 return log_error_errno(errno, "avc_open() failed: %m");
131
132         selinux_set_callback(SELINUX_CB_AUDIT, (union selinux_callback) audit_callback);
133         selinux_set_callback(SELINUX_CB_LOG, (union selinux_callback) log_callback);
134
135         if (security_getenforce() < 0){
136                 r = -errno;
137                 avc_destroy();
138         }
139
140         return r;
141 }
142
143 static int mac_selinux_access_init(sd_bus_error *error) {
144         int r;
145
146         if (initialized)
147                 return 0;
148
149         if (!mac_selinux_use())
150                 return 0;
151
152         r = access_init();
153         if (r < 0)
154                 return sd_bus_error_set(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to initialize SELinux.");
155
156         initialized = true;
157         return 0;
158 }
159 #endif
160
161 void mac_selinux_access_free(void) {
162
163 #ifdef HAVE_SELINUX
164         if (!initialized)
165                 return;
166
167         avc_destroy();
168         initialized = false;
169 #endif
170 }
171
172 /*
173    This function communicates with the kernel to check whether or not it should
174    allow the access.
175    If the machine is in permissive mode it will return ok.  Audit messages will
176    still be generated if the access would be denied in enforcing mode.
177 */
178 int mac_selinux_generic_access_check(
179                 sd_bus_message *message,
180                 const char *path,
181                 const char *permission,
182                 sd_bus_error *error) {
183
184 #ifdef HAVE_SELINUX
185         _cleanup_bus_creds_unref_ sd_bus_creds *creds = NULL;
186         const char *tclass = NULL, *scon = NULL;
187         struct audit_info audit_info = {};
188         _cleanup_free_ char *cl = NULL;
189         security_context_t fcon = NULL;
190         char **cmdline = NULL;
191         int r = 0;
192
193         assert(message);
194         assert(permission);
195         assert(error);
196
197         if (!mac_selinux_use())
198                 return 0;
199
200         r = mac_selinux_access_init(error);
201         if (r < 0)
202                 return r;
203
204         r = sd_bus_query_sender_creds(
205                         message,
206                         SD_BUS_CREDS_PID|SD_BUS_CREDS_EUID|SD_BUS_CREDS_EGID|
207                         SD_BUS_CREDS_CMDLINE|SD_BUS_CREDS_AUDIT_LOGIN_UID|
208                         SD_BUS_CREDS_SELINUX_CONTEXT|
209                         SD_BUS_CREDS_AUGMENT /* get more bits from /proc */,
210                         &creds);
211         if (r < 0)
212                 goto finish;
213
214         r = sd_bus_creds_get_selinux_context(creds, &scon);
215         if (r < 0)
216                 goto finish;
217
218         if (path) {
219                 /* Get the file context of the unit file */
220
221                 r = getfilecon(path, &fcon);
222                 if (r < 0) {
223                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get file context on %s.", path);
224                         goto finish;
225                 }
226
227                 tclass = "service";
228         } else {
229                 r = getcon(&fcon);
230                 if (r < 0) {
231                         r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "Failed to get current context.");
232                         goto finish;
233                 }
234
235                 tclass = "system";
236         }
237
238         sd_bus_creds_get_cmdline(creds, &cmdline);
239         cl = strv_join(cmdline, " ");
240
241         audit_info.creds = creds;
242         audit_info.path = path;
243         audit_info.cmdline = cl;
244
245         r = selinux_check_access((security_context_t) scon, fcon, tclass, permission, &audit_info);
246         if (r < 0)
247                 r = sd_bus_error_setf(error, SD_BUS_ERROR_ACCESS_DENIED, "SELinux policy denies access.");
248
249         log_debug("SELinux access check scon=%s tcon=%s tclass=%s perm=%s path=%s cmdline=%s: %i", scon, fcon, tclass, permission, path, cl, r);
250
251 finish:
252         freecon(fcon);
253
254         if (r < 0 && security_getenforce() != 1) {
255                 sd_bus_error_free(error);
256                 r = 0;
257         }
258
259         return r;
260 #else
261         return 0;
262 #endif
263 }
264
265 int mac_selinux_unit_access_check_strv(char **units,
266                                 sd_bus_message *message,
267                                 Manager *m,
268                                 const char *permission,
269                                 sd_bus_error *error) {
270 #ifdef HAVE_SELINUX
271         char **i;
272         Unit *u;
273         int r;
274
275         STRV_FOREACH(i, units) {
276                 u = manager_get_unit(m, *i);
277                 if (u) {
278                         r = mac_selinux_unit_access_check(u, message, permission, error);
279                         if (r < 0)
280                                 return r;
281                 }
282         }
283 #endif
284         return 0;
285 }